Wir haben eine Logistik-Anwendung, mit der Lagerbestände verwaltet werden - also nur Daten über Sachen im Lager. Unsere Rechtsabteilung meint nun aber, da man sich dort mit Username/Passwort anmeldet, wäre das datenschutzrelevant und müsste als Verarbeitung ins Verarbeitungsverzeichnis.
Ist das wirklich so? Ich habe bislang nur Anwendungen aufgenommen, bei denen die Verarbeitung der personenbezogenen Daten im Vordergrund steht.
Die DSGVO kennt keinen “Vordergrund”. Die Pflichten für den Verantwortlichen entstehen, sobald personenbezogene Daten verarbeitet werden.
Evtl. alle ähnlichen Systeme zusammenfassen, die nur Nutzungsaktivitäten verarbeiten. V. a. Zwecke, Empfänger, Dauer.
Vielleicht kommt dabei raus, dass die wenigen Daten 138 Jahre erhalten bleiben, dass die Kunden oder die ganze Welt Zugriff hätten, dass ein Dienstleister die Daten für seine Zwecke auswertet…
D., der einen kurzen Eintrag machen würde. Schon der Vollständigkeit halber.
3 „Gefällt mir“
Da es heutzutage in Unternehmen kaum noch Anwendungen ohne Berechtigungsverwaltung gibt, hiesse das, dass absolut alle IT-Anwendungen ins Verarbeitungsverzeichnis kommen. Und eine Zusammenfassung wäre dabei auch schwierig - selbst wenn die Zwecke übereinstimmen, wären ja die Schutzmaßnehmen, Löschkonzepte etc. überall unterschiedlich.
Habe ich bislang nicht so gesehen - machen das alle anderen auch so?
Ich persönlich würde die Verarbeitung zunächst aufnehmen und die Verarbeitungen (evtl. gibt es welche im Hintergrund) prüfen.
Wenn die Anwendung mit der Zugangsverwaltung nur prüft, ob quasi der Schlüssel (Zugangsdaten) zum Schloss (Account) passt, ist die Doku ja schnell erstellt und könnte als Zugangsdatenverarbeitung für die Fälle gelten, die genau so funktionieren.
Ergibt sich bei der Prüfung der Anwendung, dass es eigentlich eine SaaS-Anwendung in der Cloud ist und der Anbieter auch noch die Nutzungszeiten erfasst und auswertet, wird ewas mehr Aufwand erforderlich.
Folglich nehme ich immer erstmal auf und prüfe…
1 „Gefällt mir“
Das VVT soll ja dem Zweck dienen festzustellen wo überall Daten auf welche Weise und wie lange verarbeitet werden.
Da das Aufnehmen solcher Tätigkeiten in das VVT im Zweifel schnell gemacht ist, wäre ich auch dafür es einzutragen, insbesondere wie die anderen schon sagten, wegen dem was sich ggfs. damit verbunden herausstellt.
Was “alle” machen ist die eine Sache, was richtig ist teils/meist eine andere.
Bei der Zugriffsverwaltung auch nur für ein Logistikprogramm kann über die Logdaten auch Fehlverhalten, Manipulation oder einfach die Erfüllung der arbeitsvertraglichen Pflichten nachgewiesen werden.
Zweckbindung und Löschkonzept aus dem VVT helfen auch hier.
1 „Gefällt mir“